Desde principios de junio, varios internautas han tenido la desagradable sorpresa de descubrir que su cuenta de Amazon había sido pirateada y que la operación había permitido a personas malintencionadas realizar pedidos que se consideraban ya entregados y debitados de inmediato. Esta vulnerabilidad de día cero es aún más preocupante dado que los usuarios que la mencionaron tenían autenticación de dos factores (A2F), que se supone que es a prueba de manipulaciones.
Lea también:
Los cargos de Estados Unidos contra Julian Assange se combinan con conspiración con piratas
Pedidos (de los que los clientes no tienen conocimiento) realizados y que parecen haber sido entregados
La falla de la que estamos hablando nos ha sido informada por varios internautas, con evidencia de apoyo. Para ilustrarlo de la manera más sencilla posible, estamos transmitiendo el testimonio de clientes de Amazon, algunos de los cuales son sensibles a los riesgos de ciberseguridad, a los que llamaremos al primero de ellos Martial (ya que es el 30 de junio), para preservar su anonimato.
Hace unos días Martial recibió una notificación en su móvil de la aplicación de Amazon, que le informaba de una conexión realizada desde un Mac ubicado en Notre Pays. Salvo que Martial no vive en Nuestro país. En caso de duda, corta la conexión y cambia su contraseña. Y Martial es uno de los afortunados.
Su vecino, a quien llamaremos Thierry (en homenaje al 1 de julio), recibió una notificación idéntica, evidentemente sospechosa. Salvo que a principios de semana, otro cliente de Amazon recibió la famosa notificación que indica una conexión de terceros, y no habrá tenido tanta suerte como Martial y Thierry. El propio Thomas notó que se había realizado un pedido a su nombre, en su cuenta, con el estado "Entregado" adjunto al pedido que ya estaba en la lista de pedidos archivados. Resumen de las carreras: 400 euros de artículos.
Lea también:
Automóvil autónomo: Amazon adquiere Zoox por más de mil millones de dólares
Una desviación muy inquietante del procedimiento de autenticación de dos factores
Antes de seguir adelante, hagamos un balance de la situación:
- Aquí tenemos un vendedor falso (ya que hay cientos en Amazon) que está poniendo un artículo a la venta por un precio a menudo muy por encima de lo que podría ser su verdadero valor.
- Luego, una falla de día cero (es decir que aún no se ha descubierto), permite la conexión a una cuenta de Amazon. Aclaración: la conexión se realiza incluso con el A2F. Lo cual es particularmente grave, incluso "espeluznante", dice Martial, quien por su parte brindó la máxima seguridad (a través de haveibeenpwned y howsecureismypassword).
- Entonces el falso comprador, una vez en la cuenta del cliente, ordena el producto, que resulta que ya ha sido enviado durante varios días y luego entregado por el vendedor, como por milagro.
- Finalmente, el pedido se carga inmediatamente y el falso vendedor desaparece.
También podemos encontrar un rastro del hack en Reddit, donde un usuario afirma haber sido víctima del mismo proceso deshonesto de la A a la Z, habiendo perdido $ 366 en una cama de la sala nunca ordenada, nuevamente con un procedimiento de doble autenticación.
Detrás de los piratas informáticos, hay ofertas de cuentas que pertenecen a vendedores que afirman tener su sede en China, cuyo nombre suele ser omnipresente, como una sucesión de caracteres, "IXINCHENGQUZHENZHOUB" o "HIXIANSIYANGBAI". Los productos "puestos a la venta" por estos vendedores se ejecutan regularmente en la plataforma, y las ofertas nunca parecen permanecer más de unas pocas semanas en línea. Los propios vendedores abundan. A menudo, encontramos las palabras "Recién lanzado" en la página de un vendedor.
Lea también:Para el futuro de su servicio en la nube, Amazon está mirando a las estrellas
Piratas que prepararon cuidadosamente
En cuanto al envío del estado del pedido, que parece ser entregado a los ojos del cliente cuando este último desconocía por completo la existencia del pedido, los hackers probablemente planearon seguimientos falsos, es decir, posibles cartas rastreadas. que no requieren firmas y que se han enviado a una dirección aleatoria de antemano, de modo que cuando se realiza el pedido en Amazon y luego se activa el seguimiento, el estado del pedido aparece directamente como "entregado".
Y no es solo el mercado francés el que se vería afectado. Algunas tiendas encuentran su variación en los dominios británico, italiano, español, holandés o alemán del gigante americano.
E incluso encontramos rastros de algunas ofertas publicadas en Amazon del lado de AliExpress, con un texto y un producto idénticos a los de las tiendas fraudulentas. En Aliexpress, la página ya no existe, incluso si sigue siendo referenciada en los motores de búsqueda.
Tenga en cuenta que, de acuerdo con nuestra información, los clientes agraviados (que serían menos de diez conocidos en este momento) fueron reembolsados rápidamente cada vez por Amazon, y el cambio de contraseña (que por lo tanto le aconsejamos, en prevención) resolvió el problema. Solo podemos aconsejarle, si ha registrado un método de pago predeterminado en Amazon (o en otros sitios), que lo retire.
Saber 👍
- Hemos recibido varios otros testimonios desde la publicación del artículo, incluidos algunos de usuarios muy informados, como desarrolladores web, que también confirman haber recibido recientemente una notificación de una conexión a través de su cuenta de Amazon desde otro terminal, ubicado en otra localidad.
- Para algunos de los testimonios que pudimos recopilar, varios clientes de Amazon nos dicen que han activado A2F a través de su número de teléfono y no a través de la aplicación de autenticación de cuenta.
- No parece haber habido un problema de intercambio de SIM con algunos usuarios agraviados.
